WebApi系列~安全校验中的防篡改和防复用

最新推荐文章于 2024-07-24 21:04:47 发布
最新推荐文章于 2024-07-24 21:04:47 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: WebAPI

web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一般所说的安全也无非就是请求的防篡改和请求的防复用,例如,你向API发一个查询用户账户的请求,在这个过程中,你可能要传递用户ID,用户所在项目ID等,而现在拦截工具如此盛行,很容易就可以把它的请求拦截,然后篡改,再转发,这样你的API就是不安全的,而对于订单,账户模块这种糟糕的API设计更是致命的,可能引起的损失是不可预计的,是灾难性的,拍拍脑子想想就知道,你向项目提现10元,我把请求拦截把10改成100000,那么这个将是一个灾难!

防篡改

一般使用的方式就是把参数拼接,加上双方约定的“密钥”,加上你的当前项目AppKey,做一次MD5加密,这个过程生成的字符串我们一般称为密文,而对应的可见参数我们叫明文,其中明文和密文用于网络传输,而密钥存储在本地和服务器,不能进行传输!

防复用

一般请求,被重复的使用,也是正常的,就上面的方式进行加密,就无法解决防复用的问题,这时我们需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性,我们可以自定义,当然大叔定义的是秒,即同一秒内,请求可以重复发送。

大叔API安全结构图

web api核心安全校验代码片断

代码供大家参考和学习,正式的项目可以根据自己公司的需要去设计

复制代码 
 /// <summary>
    /// 功能:api数据安全性验证
    /// 校验方式:ciphertext=md5(form键的值拼接+timestamp+passkey),服务端用接收到的表单数据与时间戳和自己的passkey进行md5生成,最后比较值是否一致
    /// passkey为私钥,不用于网络传递,你可以将它与appKey进行关联,appKey用来传递,服务器根据appKey去数据库里取对应的passkey然后进行比较
    /// 功能:请求唯一性,防伪造性
    /// timestamp:UTC时间戳,不用于网络传递,在客户端调用服务器时,服务器也生成yyyyMMddhhmmss的时间戳,然后进行计算,看是否过期
    /// </summary>
    [AttributeUsage(AttributeTargets.Method)]
    public class ApiValidateFilter : ActionFilterAttribute
    {
        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            #region 初始化
            var context = (HttpContextBase)actionContext.Request.Properties["MS_HttpContext"];//获取传统context
            var request = context.Request;//定义传统request对象
            var paramStr = new StringBuilder();
            var coll = new NameValueCollection();
            if (request.HttpMethod.ToLower() == "get")
                coll = request.QueryString;
            else
                coll = request.Form;
            #endregion

            #region 解析XML配置文件
            var config = CacheConfigFile.ConfigFactory.Instance.GetConfig<ApiValidateModelConfig>().ApiValidateModelList.FirstOrDefault(i => i.AppKey == coll["AppKey"]);
            if (config == null)
            {
                actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden)
                {
                    Content = new StringContent("AppKey不是合并的,请先去组织生成有效的Key", Encoding.GetEncoding("UTF-8"))
                };
                base.OnActionExecuting(actionContext);
            }
            if (config.ExpireDate < DateTime.Now)
            {
                actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden)
                {
                    Content = new StringContent("AppKey不是合并的,密钥已过期", Encoding.GetEncoding("UTF-8"))
                };
                base.OnActionExecuting(actionContext);
            }
            #endregion

            #region 验证算法
            var keys = new List<string>();
            foreach (string param in coll.Keys)
            {
                if (!string.IsNullOrEmpty(param))
                {
                    keys.Add(param.ToLower());
                }

            }
            keys.Sort();
            foreach (string p in keys)
            {
                if (p != "ciphertext")
                {
                    if (!string.IsNullOrEmpty(coll[p]))
                    {
                        paramStr.Append(coll[p]);
                    }

                }
            }
            paramStr.Append(DateTime.Now.ToUniversalTime().ToString("yyyyMMddHHmmss"));
            paramStr.Append(config.PassKey);
            #endregion


            if (Lind.DDD.Utils.Encryptor.Utility.EncryptString(paramStr.ToString(), Lind.DDD.Utils.Encryptor.Utility.EncryptorType.MD5)
                != request["cipherText"])
            {

                actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden)
                {
                    Content = new StringContent("验证失败,请求非法", Encoding.GetEncoding("UTF-8"))
                };
            }

            base.OnActionExecuting(actionContext);
        }
    }
复制代码

在上的配置项大叔把它存储到的XML里,使用的是大叔自己封装的XML缓存组件CacheConfigFile,文件第一次访问会加载到内存,下次使用直接从内存返回,而当文件修改后,文件的最后更新时间发生变化,这时缓存过期,在生产缓存时,还是采用了单例模式,

这个在大叔框架里经常被看到,呵呵。

web安全:服务器端请求伪造SSRF(Server-Side Request Forgery)、 跨站脚本攻击(XSS)、 跨站请求伪造(CSRF)、验证码辨别机器行为、接口重放机制‌、接口签名
专注于计算机研发知识和资讯分享
01-13 173
它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览时,嵌入其中 Web 里面的 html 代码会被执行,造成获取用户 cookie、钓鱼、获取用户页面数据、蠕虫、挂马等危害。Man-in-the-middle attack, MITM: 指攻击者与通讯的两端分别创建独立的联系, 并交换其所收到的数据, 使通讯的两端认为他们正在通过一个私密的连接与对方直接对话。CSRF能够做的事情包括:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至于购买商品,虚拟货币转账。
API接口安全运营研究
qq_61890005的博客
06-09 185
API的指数级应用使得API安全的条件变得异常严苛,也将企业推入了一个“高压”的局面,企业应该围绕闭环性、可持续性的API建设思路进行安全体系的设计实施,基于均衡取舍研究的结果来定义系统安全设计元素,并且向系统安全设计元素分配安全机制,确定所期望的安全机制实际有效的安全机制前端是否一致或相当,检验并最终确定设计元素系统接口,制定安全规范等。从风险角度阐述了API接口安全存在的问题,探讨了API检测技术在安全运营中起到的作用,同时针对API安全运营实践,提出了几个方面的设想以及能够带来的运营价值。
webapi接口请求数据防篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
Asp.Net WebApi Token验证 权限验证
qq_37935177的博客
07-03 3195
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html 作者 魏杨杨 1、前言 WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户
C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
qiufengwuxiu的博客
03-03 528
阅读目录一、为什么需要身份认证二、Basic基础认证的原理解析1、常见的认证方式2、Basic基础认证原理三、Basic基础认证的代码示例1、登录过程2、/Home/Index主界面3、WebApiCORS验证部分(重点)四、优化1、解决API的问题2、解决ajax的问题3、解决特殊不想使用验证的方法五、总结 正文前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题...
Web API中的SSL_TLS终止:策略与实施的终极指南
本文首先介绍了Web API与SSL/TLS的基础知识,然后深入探讨了SSL/TLS协议的工作原理,包括加密过程、握手协议记录协议,以及密码套件的配置与选择。此外,本文分析了SSL/TLS版本的演进及其安全性,讨论了终止SSL/...
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
热门推荐
时光隧道
07-24 6万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者技术作家可以更高效地生成、编辑维护文档,从而专注于更高层次的创作思考。
前端如何止接口重复提交
xiangzhihong8的专栏
04-18 569
接口重复提交指的是在网络通信中,同一个请求被客户端多次发送到服务器端的情况。这种情况可能由于多种原因导致,例如用户在等待期间多次点击提交按钮、网络超时后客户端重新发送请求、客户端发送的请求在网络传输过程中出现重复等。接口重复提交可能会导致多种问题,当服务器收到重复请求时,可能会多次处理相同的数据,导致数据重复操作或者产生不一致的结果。重复提交请求会增加服务器的负载资源消耗,特别是在高并发情况下,可能会导致服务器压力过大,影响系统的性能稳定性。
Java止文件篡改之文件校验
JavaBuilt的博客
03-16 8923
Java止文件被篡改之文件校验 转载:请注明出处,谢谢! 1.为什么要止文件被篡改? 答案是显然的,为了保证版权,系统安全性等。之前公司开发一个系统,技术核心是一个科学院院士的研究成果,作为一款商业软件来说,保证公司及作者版权是非常重要的。系统安全性就更不用说了,系统两三下就被搞垮了,那这个系统就不算是一个合格的系统。 2.文件校验作用 我们都知道,一个系统...
WebAPI 用户认证防篡改实现HMAC(四)ApiController
sky 胡萝卜星星
02-05 6172
前面写了三篇文章,都是为了这一步做准备,现在就开始进入最后的正题吧 首先对于用户请求中的合作号签名部分,定义一个专门的类来接收此部分信息(这里要注意的是,在FromUri获取时,方法里面的参数名不能起属性名一样的参数名,否则会导致类实例化,但属性却均为null的问题,这个在做demo时纠结了我1个多小时,汗一个) public class PartnerSign {
Restful api 止重复提交
joshua1830的专栏
12-29 1万+
当前很多网站是前后分离的,前端(android,iso,h5)通过restful API 调用 后端服务器,这就存在一个问题,对于创建操作,比如购买某个商品,如果由于某种原因,手抖,控件不bug,网络错误,可能导致一次操作实际上购买了多次同一个产品。所以,我们要考虑止重复提交。这个重复提交我们只限定于创建操作,对于修改删除操作,原则上是幂等的,不用担心,查询操作更不用担心重复操作。 方案一,
WebAPI 用户认证防篡改实现HMAC(五)测试小工具 SecuritySignTool
sky 胡萝卜星星
02-06 5997
防篡改之后,测试就无法简单的通过浏览器进行测试,所以需要做个小工具方便测试 然后又因为是小工具,所以做的也不会有多完美,吐槽什么的还请轻点 小工具核心就两个,一个是签名部分,这个通过前面的SecuritySignHelper,还有一个就是访问部分,这个通过HttpClient实现 签名部分如何获取可以直接跳过,这里主要讲下HttpClient,这个是微软配套专门用于访问Restful标准ur
WebApi 接口恶意请求限制
小半的博客
10-22 1864
为了止爬虫以及恶意请求,我们适当的为API增加一个请求限制 WebApiThrottle限流框架 WebApiThrottle支持自定义配置各种限流策略。可以根据不同场景配置多个不同的限制,比如授权某个IP每秒、每分钟、每小时、每天、每周的最大调用次数。 这些限制策略可以配置在所有请求上,也可以单独给每个API接口去配置。                     ...
API接口防篡改(加签、验签)原理
th1996的博客
05-13 4265
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.youkuaiyun.com/claram/article/details/98184448
利用Token机制解决重复重复提交问题
leokelly001的专栏
12-01 7236
利用Token解决重复重复提交: Struts利用同步令牌(Token)的方式来解决Web应用中重复提交的问题,其机制是在form表单中增加一个隐藏的域,保存当前令牌值,然后在程序中判断此令牌值是否合法. 原理基本如下: 1.在原表单页面   中增加一个隐藏域,用于保存当前令牌(随机数token)的值。 2.在原表单页面   中将此token放入session中 3.在目
Web API应用架构设计分析(2)
weixin_33853794的博客
07-04 1196
在上篇随笔《Web API应用架构设计分析(1)》,我对Web API的各种应用架构进行了概括性的分析设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用ASP.NET Web API 来设计Web API层以及相关的调用处理。 1、Web API的接口访问分类 Web API接口的...
Nonce 校验该怎么做,如何实现
最新发布
02-24
<think>好的,用户之前问过后端系统的安全性,现在具体问到了Nonce校验的实现方法。我需要先回忆一下Nonce在安全中的作用,通常用于止重放攻击。用户可能是在开发API或者认证机制时遇到了这个问题,想知道具体怎么实现。 首先,要解释Nonce是什么,它的作用是什么。Nonce是随机生成的一次性字符串,确保请求的唯一性。然后需要分步骤说明如何实现,比如生成、传输、验证等步骤。 接下来要考虑不同的应用场景,比如HTTP API、Web表单或者OAuth,可能需要不同的处理方式。可能需要举一些例子,比如在HTTP头中添加Nonce,或者在表单中使用隐藏字段。 用户可能还关心如何存储Nonce,比如用缓存还是数据库,以及如何止存储过载。需要提到过期时间定期清理机制。此外,安全性方面,生成足够随机的Nonce,比如使用加密安全的随机数生成器。 还要注意用户可能没有提到的细节,比如Nonce的长度、是否区分客户端,以及在高并发下的处理。可能需要提到分布式系统中如何同步Nonce,比如用Redis这样的集中存储。 最后,提醒用户结合其他安全措施,比如HTTPS签名,以及常见错误,比如重复使用Nonce或者不正确的过期处理。确保用户理解Nonce校验不是唯一的解决方案,而是整体安全策略的一部分。</think>Nonce(Number Used Once,一次性数字)校验是一种止重放攻击(Replay Attack)的常用安全机制,其核心是确保每个请求的唯一性时效性。以下从 **原理、实现步骤、代码示例** **注意事项** 展开说明: --- ### **1. Nonce 的作用原理** - **重放**:攻击者截获合法请求后无法重复使用,因 Nonce 仅一次有效。 - **抗篡改**:通常结合签名(Signature)使用,确保请求完整性。 - **时序性**:可关联时间戳,拒绝过期请求(如超过 5 分钟的请求失效)。 --- ### **2. 实现步骤** #### **2.1 生成与下发** - **客户端**:发起请求前,先向服务端申请一个 Nonce(或由客户端生成)。 - **服务端**:生成随机字符串(如 UUID 或加密随机数),存储并设置 **过期时间**(如 5 分钟)。 #### **2.2 请求携带** - 客户端在后续请求中必须携带该 Nonce,通常通过以下方式: - **HTTP Header**:`X-Nonce: {value}` - **URL 参数**:`/api?nonce=xxx&sign=yyy` - **请求体**:JSON/Form 中包含 `nonce` 字段。 #### **2.3 服务端验证** 1. **存在性检查**:请求是否包含 Nonce。 2. **唯一性检查**:查询存储(如 Redis),确认 Nonce 未被使用过。 3. **过期检查**:若关联时间戳,检查是否在有效期内。 4. **标记已用**:验证后立即标记 Nonce 失效,止重复使用。 --- ### **3. 代码示例(以 Node.js + Redis 为例)** #### **3.1 生成 Nonce** ```javascript const crypto = require('crypto'); // 生成 16 字节的随机 Hex 字符串作为 Nonce function generateNonce() { return crypto.randomBytes(16).toString('hex'); } ``` #### **3.2 存储与校验(Redis)** ```javascript const redis = require('redis'); const client = redis.createClient(); // 存储 Nonce,设置 5 分钟过期 async function saveNonce(nonce) { await client.set(nonce, 'used', 'EX', 300); // EX 表示秒级过期 } // 校验 Nonce 是否存在且未使用 async function validateNonce(nonce) { const exists = await client.exists(nonce); return exists === 1; // 存在则为 true,否则 false } ``` #### **3.3 中间件校验** ```javascript app.use(async (req, res, next) => { const nonce = req.headers['x-nonce']; if (!nonce) return res.status(400).send('Missing Nonce'); const isValid = await validateNonce(nonce); if (!isValid) return res.status(403).send('Invalid Nonce'); next(); // 验证通过 }); ``` --- ### **4. 增强安全性的实践** #### **4.1 结合时间戳** - 客户端在请求中额外携带时间戳(如 `X-Timestamp: 1620000000`)。 - 服务端校验时间戳与当前时间的差值(如拒绝超过 5 分钟的请求)。 #### **4.2 签名机制** - 客户端用 Nonce + 时间戳 + 请求参数生成签名(如 HMAC-SHA256)。 - 服务端用相同算法重新计算签名,比对一致性。 #### **4.3 限流与爆破** - 对同一客户端(IP 或 UserID)限制 Nonce 申请频率。 - 失败次数过多时临时封禁。 --- ### **5. 适用场景** - **支付接口**:止重复扣款。 - **关键操作**:如修改密码、删除数据。 - **OAuth 授权**:避免令牌被截获复用。 --- ### **6. 注意事项** - **随机性**:使用加密安全的随机数生成器(如 `crypto.randomBytes`),避免伪随机(如 `Math.random()`)。 - **存储选择**:高频场景用 Redis/Memcached,低频可存数据库。 - **分布式一致性**:集群环境下需集中存储 Nonce(如 Redis 集群)。 - **清理机制**:定期清理过期 Nonce,避免存储膨胀。 --- ### **7. 常见问题** - **Q:Nonce 需要全局唯一吗?** A:是,否则不同客户端的 Nonce 可能冲突。 - **Q:Nonce CSRF Token 的区别?** A:CSRF Token 跨站请求伪造,通常与会话绑定;Nonce 更聚焦重放,常与时间或签名绑定。 - **Q:是否必须结合 HTTPS?** A:是的,否则 Nonce 可能在传输中被截获。 --- 通过合理设计 Nonce 机制,可显著提升接口安全性,但需结合业务场景平衡安全性与性能(如高频请求需优化存储查询)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值